日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

Git 由于在處理子模塊代碼庫的設置檔案存在漏洞，導致開發(fā)者可能遭受任代碼執(zhí)行攻擊，多數代碼托管服務皆已設置拒絕有問題的代碼儲存庫，但建議使用者盡快更新，避免不必要的風險。

創(chuàng)新互聯建站的客戶來自各行各業(yè)，為了共同目標，我們在工作上密切配合，從創(chuàng)業(yè)型小企業(yè)到企事業(yè)單位，感謝他們對我們的要求，感謝他們從不同領域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。專業(yè)領域包括成都做網站、成都網站設計、電商網站開發(fā)、微信營銷、系統平臺開發(fā)。

Microsoft Visual Studio 團隊服務項目經理 Edward Thomson May 在 DevOps 博客中提到，Git 社區(qū)最近發(fā)現 Git 存在一個漏洞，允許黑客執(zhí)行任意代碼。 他敦促開發(fā)人員盡快更新客戶端應用程序。 微軟還采取了進一步措施，防止惡意代碼庫被推入微軟的 VSTS（Visual Studio Team Services）。

此代碼是 CVE 2018-11235 中的一個安全漏洞。 當用戶在惡意代碼庫中操作時，他們可能會受到任意代碼執(zhí)行攻擊。 遠程代碼存儲庫包含子模塊定義和數據，它們作為文件夾捆綁在一起并提交給父代碼存儲庫。 當這個代碼倉庫被來回復制時，Git 最初會將父倉庫放到工作目錄中，然后準備復制子模塊。

但是，Git 稍后會發(fā)現它不需要復制子模塊，因為子模塊之前已經提交給父存儲庫，它也被寫入工作目錄，這個子模塊已經存在于磁盤上。 因此，Git 可以跳過抓取文件的步驟，并直接在磁盤上的工作目錄中使用子模塊。

但是，并非所有文件都可以被復制。 當客戶端復制代碼庫時，無法從服務器獲取重要的配置。 這包括 .git 或配置文件的內容。 另外，在 Git 工作流中的特定位置執(zhí)行的鉤子（如Git）將在將文件寫入工作目錄時執(zhí)行 Post-checkout 鉤子。

不應該從遠程服務器復制配置文件的一個重要原因就是，遠程服務器可能提供由 Git 執(zhí)行的惡意代碼。

CVE 2018-11235 的漏洞正是犯了這個錯誤，所以 Git 有子模塊來設置漏洞。 子模塊存儲庫提交給父存儲庫，并且從未實際復制過。 子模塊存儲庫中可能存在已配置的掛鉤。 當用戶再次出現時，惡意的父庫會被精心設計。 將寫入工作目錄，然后 Git 讀取子模塊，將這些子模塊寫入工作目錄，最后一步執(zhí)行子模塊存儲庫中的任何 Post-checkout 掛鉤。

為了解決這個問題，Git 客戶端現在將更仔細地檢查子文件夾文件夾名稱。 包含現在非法的名稱，并且它們不能是符號鏈接，因此這些文件實際上必須存在于 .git 中，而不能位于工作目錄中。

Edward ThomsonMay 提到，Git，VSTS 和大多數其他代碼托管服務現在拒絕使用這些子模塊配置的存儲庫來保護尚未更新的 Git 客戶端。 Git 2.17.1 和 Windows 的 2.17.1 客戶端軟件版本已經發(fā)布，微軟希望開發(fā)人員盡快更新。

分享名稱：Git 爆任意代碼執(zhí)行漏洞，所有使用者都受影響
文章源于：http://m.5511xx.com/article/cdpiscg.html